1.1. IAMポリシードキュメントの作成 (handson-SSMSessionManagerEndUser-policy)¶

手順の目的 [why]¶

IAMポリシー"handson-SSMSessionManagerEndUser-policy"のポリシードキュメントを作成します。

設定値の指定¶

手順に必要な設定値を変数に格納をします。

0. リージョンの指定

リージョンを指定します。

環境変数の設定:
export AWS_DEFAULT_REGION='ap-northeast-1'

1. ポリシードキュメント用ディレクトリ名

ポリシードキュメント用ディレクトリ名を指定します。

変数の設定:

DIR_IAM_POLICY_DOC="${HOME}/environment/conf-handson-cli-ssm-session-manager"

ディレクトリが存在することを確認します。

コマンド:
ls -d ${DIR_IAM_POLICY_DOC}
結果(例:存在する場合):
${HOME}/environment/conf-handson-cli-ssm-session-manager

存在しない場合は作成します。

コマンド:
mkdir -p ${DIR_IAM_POLICY_DOC}
結果(例):
(出力なし)

2. IAMポリシードキュメント名

IAMポリシードキュメント名を指定します。

変数の設定:

IAM_POLICY_DOC_NAME='handson-SSMSessionManagerEndUser-policy'

変数の設定:

FILE_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}/${IAM_POLICY_DOC_NAME}.json" \
  && echo ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerEndUser-policy.json

3. SSMドキュメントタイプ

SSMドキュメントタイプを指定します。

変数の設定:
SSM_DOCUMENT_TYPE='Session'

4. SSMドキュメント名

SSMドキュメント名を指定します。

変数の設定:

SSM_DOCUMENT_NAME='SSM-SessionManagerRunShell'

5. IAMユーザーパス

IAMユーザーパスを指定します。

変数の設定:
IAM_USER_PATH='/handson-cli/'

設定値の確認¶

各変数に正しい設定値が格納されていることを確認しながら保存します。

変数の確認:

cat << END

  # 0. AWS_DEFAULT_REGION:"ap-northeast-1"
       AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 1. DIR_IAM_POLICY_DOC:"${HOME}/environment/conf-handson-cli-ssm-session-manager"
       DIR_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}"
  # 2. IAM_POLICY_DOC_NAME:"handson-SSMSessionManagerEndUser-policy"
       IAM_POLICY_DOC_NAME="${IAM_POLICY_DOC_NAME}"
  # 3. SSM_DOCUMENT_TYPE:"Session"
       SSM_DOCUMENT_TYPE="${SSM_DOCUMENT_TYPE}"
  # 4. SSM_DOCUMENT_NAME:"SSM-SessionManagerRunShell"
       SSM_DOCUMENT_NAME="${SSM_DOCUMENT_NAME}"
  # 5. IAM_USER_PATH:"/handson-cli/"
       IAM_USER_PATH="${IAM_USER_PATH}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行¶

AWS IDを取得します。

コマンド:

AWS_ID=$( \
  aws sts get-caller-identity \
    --query 'Account' \
    --output text \
) \
  && echo ${AWS_ID}

結果(例):

XXXXXXXXXXXX

IAMポリシードキュメントを作成します。

変数の確認:

cat << EOF

  # FILE_IAM_POLICY_DOC:"${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerEndUser-policy.json"
    FILE_IAM_POLICY_DOC="${FILE_IAM_POLICY_DOC}"
  # AWS_ID:"XXXXXXXXXXXX"
    AWS_ID="${AWS_ID}"
  # SSM_DOCUMENT_NAME:"SSM-SessionManagerRunShell"
    SSM_DOCUMENT_NAME="${SSM_DOCUMENT_NAME}"
  # IAM_USER_PATH:"/handson-cli/"
    IAM_USER_PATH="${IAM_USER_PATH}"

EOF

コマンド:

cat << EOF > ${FILE_IAM_POLICY_DOC}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeSessions",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceProperties",
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ec2:${AWS_DEFAULT_REGION}:${AWS_ID}:instance/*",
                "arn:aws:ssm:${AWS_DEFAULT_REGION}:${AWS_ID}:document/${SSM_DOCUMENT_NAME}" 
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ssm:TerminateSession",
            "Resource": "arn:aws:ssm:*:${AWS_ID}:session/\${aws:username}-*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam::${AWS_ID}:user${IAM_USER_PATH}\${aws:username}"
        }
    ]
}
EOF

cat ${FILE_IAM_POLICY_DOC}

結果(例):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeSessions",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceProperties",
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ec2:ap-northeast-1:XXXXXXXXXXXX:instance/*",
                "arn:aws:ssm:ap-northeast-1:XXXXXXXXXXXX:document/SSM-SessionManagerRunShell"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ssm:TerminateSession",
            "Resource": "arn:aws:ssm:*:XXXXXXXXXXXX:session/${aws:username}-*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetUser",
            "Resource": "arn:aws:iam::XXXXXXXXXXXX:user/handson-cli/${aws:username}"
        }
    ]
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド:
cat ${FILE_IAM_POLICY_DOC} \
  |  python3 -m json.tool \
  > /dev/null
結果(例):
(出力なし)
注釈

エラーが出力されなければOKです。

完了確認¶

「IAMポリシードキュメント"${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerEndUser-policy.json"が存在する。」ことを確認します。

コマンド:

ls ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/environment/conf-handson-cli-ssm-session-manager/handson-SSMSessionManagerEndUser-policy.json

1.1. IAMポリシードキュメントの作成 (handson-SSMSessionManagerEndUser-policy)¶

手順の目的 [why]¶

設定値の指定¶

設定値の指定¶

設定値の確認¶

処理の実行¶

完了確認¶

手順の完了¶